Datenschutz

Verzeichnis der Verarbeitungstätigkeiten

Vorbemerkung

Die nachstehenden Hinweise dienen als erste Orientierung für Sie. Unsere Ausführungen stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses sowie weiterer Auslegungen der Datenschutzbehörden. Eine Haftung für den Inhalt, die Vollständigkeit oder auch die Wirkung der Ausführungen wird nicht übernommen.

Einleitung

Das Verzeichnis der Verarbeitungstätigkeiten führt alle Tätigkeiten (Prozesse) des Vermittlerbetriebes auf, in dem personenbezogene Daten verarbeitet werden. Darin müssen alle Prozesse beschrieben werden, die mit personenbezogenen Daten zu tun haben. Die Erstellung eines solchen Verzeichnisses für den Vermittlerbetrieb dürfte der aufwändigste Bestandteil der DSGVO-Umsetzung im Unternehmen sein. Dieses Verzeichnis ist praktisch ein Nachweis der Einhaltung des Datenschutzes und im Falle einer Datenpanne die erste Anlaufstelle für Kontrollen durch die Behörden. Sie ist diesen auf Anforderung zu übermitteln.

Die zu erfassenden Prozesse sind sowohl die Standardprozesse eines Unternehmens (Buchhaltung, Personalwesen, Marketing) sowie die vermittlerspezifischen Prozesse in der Kunden- und Vertragsverwaltung.

Beispiele für Standardprozesse:

  • Buchhaltung (Zahlungsverkehr, Rechnungswesen, Controlling)
  • Personalverwaltung (Lohnabrechnung, Personalakten, Bewerbungsunterlagen)
  • Marketing (Email-Newsletter, Adressaufkleberdruck für Hauszeitschrift)

Beispiele für spezifische Vermittlerprozesse:

  • Kundenverwaltung im MVP-System
  • Schriftliche Beratungsdokumentation
  • Nutzung von Vergleichern mit Kundendaten
  • Angebotserstellung und Antragsübermittlung
  • Bearbeitung von Kunden- und Vertragsdaten (Einsicht, Änderung, Sperrung, Löschung, Übertragung)

Diese im Verzeichnis aufzulistenden Prozesse müssen jeweils um die datenschutzrelevanten Kriterien ergänzt werden:

  • Zweck der Verarbeitung
  • Gesetzliche Grundlage der Verarbeitung
  • Löschfristen
  • Datenart
  • Betroffene Personengruppen
  • Auflistung der personenbezogenen Daten der Verarbeitung
  • Empfänger
  • Drittstaatentransfer
  • Zugriffsberechtigte
  • Betroffene Technisch-Organisatorische-Maßnahmen (TOMs)
  • Verantwortliche

Verzeichnisvorlage

Wir werden in Kürze ein vermittlerspezifisches Verzeichnis hier zur Verfügung stellen, das beispielhafte Daten für einen mittelgroßen Maklerbetrieb beinhaltet. Dieses können Sie den individuellen Gegebenheiten Ihres Betriebes anpassen. Dazu sind folgende vorbereitende Maßnahmen erforderlich:

  • Auflistung aller eingesetzter Anwendungen, die personenbezogene Daten verarbeiten
  • Beschreibung der Verfahren einzelner Anwendungen (MVP-, Zeiterfassungs- und Reisekostensystem)
  • Übersicht der Verträge zur Auftragsdatenverarbeitung (AVV)
  • Prüfung auf Datenübermittlung in Drittländer (z.B. Cloud-Systeme)